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Kleine Anfrage 

der Abgeordneten Andrej Hunko, Christine Buchholz, Heike Hansel, 
Zaklin Nastic, Dr. Alexander S. Neu, Alexander Ulrich und der 
Fraktion DIE LINKE. 


Unklare Faktenlage zum sogenannten „Bundeshack“ 


Es ist weiterhin unklar, wer für den sogenannten „Bundeshack“ auf den Informa¬ 
tionsverbund Berlin-Bonn (IVBB) verantwortlich ist (Quelle hier und im Folgen¬ 
den: Bundestagsdmcksache 19/1867). Zwar ermitteln hierzu das Bundesamt für 
Sicherheit in der Informationstechnik (BSI) und das für Spionageabwehr zustän¬ 
dige Bundesamt für Verfassungsschutz (BfV), auch der Auslandsgeheimdienst 
Bundesnachrichtendienst (BND ) ist eingebunden. Jedoch habe das Bundesminis¬ 
terium des Inneren, für Bau und Heimat (BMI) nur „Indizien“, dass die in Russ¬ 
land verorteten Netzwerke „APT28“ oder „Snake“ etwas mit dem Sicherheitsvor¬ 
fall zu tun haben könnten. Laut dem Bundesinnenministerium sprächen die bei 
früheren Angriffen genutzten Infrastrukturen, ein nicht näher bezeichneter 
„Modus Operandi“, technische Merkmale sowie die Ziele „mit hoher Wahr¬ 
scheinlichkeit“ für einen Angriff von „APT 28“ oder „Snake“. Als „Hinweis“ für 
die Urheberschaft gilt demnach auch ein Datendiebstahl bei den US-amerikani¬ 
schen Präsidentschaftswahlen. 

Nach Medienberichten deutet etwa eine genutzte kyrillische Tastatur oder ein 
Zeitstempel als Indiz, dass die russische Regiemng involviert sei („Hacker mit 
Stil“, www.faz.de vom 2. Mai 2018). Diese Spuren könnten aber leicht manipu¬ 
liert worden sein. Das gelte auch für IP-Adressen der Server, von denen aus 
Schadsoftware eingeschleust wird. Schließlich ist bisher noch kein zusammen¬ 
hängender Code der Schadsoftware aus dem Angriff bekannt, obwohl danach 
„intensiv gesucht“ wird. Die deutschen Ermittlungsbehörden hätten sich deshalb 
Hilfe beim US-Geheimdienst National Security Agency (NSA) gesucht, der eine 
Datenbank mit „Stilproben von Programmierern“ führt. 

Der beim „Bundeshack“ genutzte Trojaner „Turla“ bzw. „Uroburos“ ist dem BSI 
seit Jahren bekannt. Das könnte aus Sicht der Fragestellerinnen und Fragesteller 
bedeuten, dass das Regierungsnetz also entsprechend gesichert war und der An¬ 
griff in Ruhe beobachtet werden konnte. Das wirft die Frage auf, warum das Par¬ 
lamentarische Kontrollgremium erst nach dem öffentlichen Bekanntwerden des 
Angriffs unterrichtet wurde. Laut dem BMI hat es hierzu Meinungsverschieden¬ 
heiten in der ,,inteme[n] Willensbildung der Bundesregierung zum Umgang mit 
dem laufenden Angriff 1 gegeben, die dazu geführt haben, dass das Parlamentari¬ 
sche Kontrollgremium erst durch Medienberichte von dem Angriff erfuhr. 
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Die in der Antwort benannten Meinungsverschiedenheiten innerhalb der Bundes¬ 
regierung dürfen aus Sicht der Fragestellerinnen und Fragesteller nicht dazu fuh¬ 
ren, die parlamentarische Kontrolle auszuhöhlen. Die Bundesregierung muss wie 
in den Jahren 2016 und 2017 auch im Jahr 2018 ressortübergreifende Cybersi¬ 
cherheitskonsultationen mit Russland durchführen. Noch besser wäre es, mit rus¬ 
sischen Behörden im Bereich der Cybersicherheit oder der Abwehr von IT-An- 
griffen in technischen, operativen und strategischen Fragen zusammenzuarbeiten. 

Wir fragen die Bundesregierung: 

1. Welche ,,diverse[n] Werkzeuge“ wurden bei dem „Bundeshack“ genutzt, 
„die größtenteils speziell für diesen Angriff angefertigt worden sein dürften“ 
(Antwort zu Frage 5b auf Bundestagsdrucksache 19/1867)? 

2. Inwiefern kann sich die Bundesregierung mittlerweile auf eine Urheberschaft 
eines der in Russland verorteten Netzwerke „APT28“ oder „Snake“ festlegen 
(Antwort zu Frage 12 auf Bundestagsdrucksache 19/1867)? 

3. Worin bestanden der „Modus Operandi“ und die „technische[n] Merkmale“, 
die „mit hoher Wahrscheinlichkeit“ für Urheberschaft vom „APT28“ bzw. 
„Snake“ sprechen? 

4. Mit welcher Schadsoftware wurden das deutsche Regierungsnetz, deutsche 
Auslandsvertretungen in westlichen Staaten, mehrere Schulen und Floch- 
schulen sowie Forschungsinstitute angegriffen, und wann trugen sich diese 
Angriffe zu (Antwort zu Frage 14a auf Bundestagsdrucksache 19/1867)? 

5. Inwiefern trifft es zu, dass bei dem Angriff Schadsoftware genutzt wurde, die 
auf Computern mit kyrillischem Zeichensatz programmiert wurde („Flacker 
mit Stil“, www.faz.de vom 2. Mai 2018)? 

a) Welche Programmierwerkzeuge wurden dabei vermutlich genutzt? 

b ) Welche Spuren der bei dem Angriff genutzten Schadsoftware konnten die 
Ermittlungsbehörden mittlerweile sichern, und in welcher Programmier¬ 
sprache wurde diese geschrieben? 

6. Was ist der Bundesregierung über eine Datenbank des US-Militärgeheim- 
dienstes National Security Agency (NSA) bekannt, in der Programmiercode 
gesammelt wird, um die Urheber von Schadsoftware ermitteln zu können? 

a) Welche deutschen Behörden und Geheimdienste arbeiten hierzu mit der 
NSA zusammen? 

b) Inwiefern wurde die NSA-Datenbank auch in den Ermittlungen zum 
„Bundeshack“ genutzt? 

7. Was ist der Bundesregierung darüber bekannt, inwiefern im sogenannten 
Darknet Belohnungen ausgesetzt wurden, um Informationen über den „Bun¬ 
deshack“ zu erlangen? 

a) In welchem Ausmaß machen welche Bundesbehörden von solchen Infor¬ 
mationsaufkäufen Gebrauch? 


b) Mit welchen externen Beratern und Sicherheitsunternehmen arbeiten die 
Bundesministerien bzw. das Bundeskanzleramt hierzu zusammen? 
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8. Worin bestanden die Meinungsverschiedenheiten in der ,,interne[n] Willens¬ 
bildung der Bundesregierung zum Umgang mit dem laufenden Angriff‘, die 
dazu geführt haben, dass das Parlamentarische Kontrollgremium erst durch 
Medienberichte von dem Angriff erfuhr (Antwort zu Frage 4 auf Bundes¬ 
tagsdrucksache 19/1867)? 

9. Was ist der Bundesregierung darüber bekannt, inwiefern sich auch deutsche 
Träger für die Einrichtung eines der drei geplanten „Forschungs- und Kom¬ 
petenzzentren für Cybersicherheit“ bzw. ein entsprechendes „Pilotzentrum“ 
bewerben wollen (Antwort zu Frage 6 auf Bundestagsdrucksache 19/1900)? 

10. Welche Haltung vertritt die Bundesregierung zur von der Europäischen 
Kommission geprüften Einrichtung eines Europäischen „Cybersecurity For¬ 
schungs- und Kompetenzzentrums“ in Form einer Generalunternehmung ge¬ 
mäß Artikel 187 oder Artikel 173 des Vertrags über die Arbeitsweise der Eu¬ 
ropäischen Union? 

11. In welchen Cyberübungen, an denen sich die Bundeswehr im Jahr 2018 
beteiligt, wird mit den Anwendungen „Cobalt Strike“, „Metasploit“ 
oder „Burp Proxy“ geübt (Antwort zu Frage 15d auf Bundestagsdrucksache 
19/1900)? 

12. Wann und wo finden die diesjährigen ressortübergreifenden „Cybersicher¬ 
heitskonsultationen“ mit Russland statt, die der Vertrauensbildung und der 
strategischen Zusammenarbeit dienen sollen (Antwort zu Frage 22 auf Bun¬ 
destagsdrucksache 19/1900)? 

13. Sofern diese „Cybersicherheitskonsultationen“ derzeit nicht stattfinden, wel¬ 
che Gründe sind dafür maßgeblich? 

14. Über welche „Hinweise“ verfügt der Präsident des Bundesamtes für Verfas¬ 
sungsschutz (BfV), die er von Dritten gehört haben will und die illustrieren 
sollen, dass „Russland“ (an anderer Stelle ist von „russischen Trollen“ die 
Rede) die katalanische Unabhängigkeitsbewegung „mit Propaganda unter¬ 
stützt“ („Geheimdienste werfen Russland Unterstützung von Separatisten 
vor“, spiegel.de vom 14. Mai 2018)? 

a) Von welchen Dritten hat der BfV-Präsident diese „Hinweise“ auf eine 
„Unterstützung im Bereich von Desinformation und Propaganda“ gehört? 

b ) Inwiefern können diese „Hinweise“ belegen, dass es sich bei der behaup¬ 
teten Einflussnahme um eine staatliche Maßnahme handelt? 

15. Welcher „gleiche Angreifer mit der gleichen Schadware“ hat versucht, 
welche „deutsche Infrastruktur anzugreifen“, nachdem dieser zuvor einen 
Cyberangriff „auf ein ukrainisches Kraftwerk im Dezember 2015“ verübt ha¬ 
ben soll („Maaßen warnt vor Cyberangriffen auf kritische Infrastruktur in 
Deutschland“, afp.com vom 14. Mai 2018)? 

a) Welche „deutsche Infrastruktur“ wurde dabei angegriffen? 

b) Wie wurde festgestellt, dass es sich um den ,,gleiche[n] Angreifer han¬ 
delt? 

c) Mit welchen ukrainischen Behörden haben welche deutschen Behörden 
hierzu ermittelt? 
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16. Inwiefern sind die „Prüfungen zu Maßnahmen einer (zivilen) aktiven Cyber- 
Abwehr“ nach der Antwort zu Frage 24 auf Bundestagsdrucksache 19/1867 
inzwischen fortgesetzt worden, und was kann die Bundesregierung dazu mit- 
teilen? 

a) Für welche Szenarien, in welcher Form und auf wessen Entscheidung sind 
„zivile Maßnahmen der aktiven Cyber-Abwehr“ aus Sicht der Bundesre¬ 
gierung derzeit denkbar („Deutschland im Visier“, tagesschau.de vom 
14. Mail 2018)? 

b) Welche (auch militärischen) Attributionsmöglichkeiten sollen vor einer 
„aktiven Cyber-Abwehr“ ausgeschöpft werden? 

c) Sofern die Ergebnisse dieser Prüfungen weiterhin nicht vorliegen, wann 
ist damit zu rechnen? 

17. In welchen Fällen haben welche deutschen Behörden bereits einen „Gegen¬ 
angriff bei Hackerangriffen“ durchgeführt, und inwiefern wurde dabei ein 
„Server eines Gegners“ zerstört, kopierte Daten „im Verlauf gelöscht“, Da¬ 
ten gelöscht, nachdem sie „bereits auf einem Server in einem Drittstaat“ 
lagen oder Schadsoftware eines Angreifers manipuliert, um „im Gegenzug 
ausländische Rechner zu infiltrieren“ („Maaßen warnt vor Cyberangriffen 
auf kritische Infrastruktur in Deutschland“, afp.com vom 14. Mai 2018)? 

Berlin, den 16. Mai 2018 

Dr. Sahra Wagenknecht, Dr. Dietmar Bartsch und Fraktion 
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